comment inserer une ligne a ma table en prenant l'information du textboxRésolu

Question

bonjours a tous ,
je veux insérer a ma table (qui contient 2 colonnes id et nom sachant que id s' incremente automatiquement ) 
alors j'ai utilisé le code ci desous mais ,, ça na pas marcher au niveau      SqlCommand command = new SqlCommand(" INSERT INTO ahmed(nom)VALUES ({0}), b " ,connexion);  
*********************************************************************
try
    {
        string connectString = "Initial Catalog=BDD1;server=AHMED-A32FEEED0;Integrated Security=True;Pooling=False";
  // Objet connection
      SqlConnection connexion = new SqlConnection(connectString);
   connexion.Open();
       MessageBox.Show("ouverture  de connection ");
      string b = textBox1.Text;
     SqlCommand command = new SqlCommand(" INSERT INTO ahmed(nom)VALUES ({0}), b " ,connexion);                      
                command.ExecuteNonQuery();
               }

                  catch (Exception ex)
                  {
                      MessageBox.Show("exception ");
                      System.Diagnostics.Debug.WriteLine(ex.ToString());

                  }
******************************************************************
je demande votre aide et MERCI  de me répondre

cs_youma85 · Accepted Answer

salut, 
essaye de remplacer:
SqlCommand command = new SqlCommand(" INSERT INTO ahmed(nom)VALUES ({0}), b " ,connexion);

par:

SqlCommand command = new SqlCommand("INSERT INTO ahmed(nom)VALUES ("+b+")" ,connexion);

cs_youma85 · Answer

vous pouvez aussi travailler avec SqlParameter :

string sql="INSERT INTO ahmed(nom) values (@param )";

SqlParameter p1=new SqlParameter(sql,cnx);
p1.ParameterName = "@param";
p1.DbType = DbType.String;
command.Parameters.Add(p1);

command.ExecuteNonQuery();

prodotnet · Answer

Bonsoir a tous ,
Merci bien youma85 
, mais malheuresement  le probleme n'a pas été resolu , meme en utilisant  
SqlCommand command = new SqlCommand("INSERT INTO ahmed(nom)VALUES ("+b+")" ,connexion);

le compilateur genere une exeption  de type   'System.Data.SqlClient.SqlException 
( j'ai mis le truc dans un bloc try catch) au niveau  command.ExecuteNonQuery();

repondez moi s'il y a de neuf $$

merci bien $$

SharpMao · Answer

Hello,

Comme te l'a indiqué youma95 dans son 2ème message, essaie avec des requêtes paramétrées

Amicalement, SharpMao

"C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!"
(Coluche / 1944-1986 / Pensées et anecdotes)

krimog · Answer

SqlCommand command = new SqlCommand("INSERT INTO ahmed(nom)VALUES ("+b+")" ,connexion);
=>
SqlCommand command = new SqlCommand("INSERT INTO ahmed(nom)VALUES ('"+b+"')" ,connexion);

Si c'est une chaine de caractères, il faut mettre des apostrophes autour de la valeur ;-)

cs_youma85 · Answer

oui vous avez raison j'ai oublié de les ajouter

cs_coq · Answer

Salut, 

Pourquoi corriger plusieurs problèmes d'un coup avec des requêtes paramétrées quand on peut connaitre les joies des bugs plus ou moins violents et des failles de sécurité découverts au fur et à mesure................

Tapez donc un texte contenant le caractère ' dans textBox1, pour accélérer un peu la découverte du problème suivant.
Et juste après renseignez vous sur l'injection SQL.

/*
coq
MVP Visual C#
CoqBlog
*/

prodotnet · Answer

Merci a tous , le pb a été resolu

Comment inserer une ligne a ma table en prenant l'information du textbox

8 réponses

Votre réponse